PyPI (Python Package Index) katalogā tika identificētas 26 ļaunprātīgas pakotnes, kas satur aptumšotu kodu setup.py skriptā, kas nosaka kriptovalūtu maka identifikatoru klātbūtni starpliktuvē un maina tos uz uzbrucēja maku (tiek pieņemts, ka, veicot maksājums, cietušais nepamanīs, ka nauda, kas pārskaitīta caur starpliktuves maiņas maka numuru, atšķiras).
Aizstāšanu veic JavaScript skripts, kas pēc kaitīgās pakotnes instalēšanas tiek iegults pārlūkprogrammā pārlūkprogrammas papildinājuma veidā, kas tiek izpildīts katras apskatītās tīmekļa lapas kontekstā. Papildinājuma instalēšanas process ir raksturīgs Windows platformai un ir ieviests pārlūkprogrammām Chrome, Edge un Brave. Atbalsta ETH, BTC, BNB, LTC un TRX kriptovalūtu maku nomaiņu.
Ļaunprātīgas pakotnes PyPI direktorijā tiek maskētas kā dažas populāras bibliotēkas, kas izmanto typequatting (piešķirot līdzīgus nosaukumus, kas atšķiras pēc atsevišķām rakstzīmēm, piemēram, exampl, nevis piemēri, djangoo, nevis django, pyhton, nevis python utt.). Tā kā izveidotie kloni pilnībā atkārto likumīgas bibliotēkas, kas atšķiras tikai ar ļaunprātīgu ievietošanu, uzbrucēji paļaujas uz neuzmanīgiem lietotājiem, kuri ir pieļāvuši drukas kļūdu un, veicot meklēšanu, nepamanīja atšķirību nosaukumā. Ņemot vērā oriģinālo likumīgo bibliotēku popularitāti (lejupielādes skaits pārsniedz 21 miljonu eksemplāru dienā), par kurām tiek maskēti ļaunprātīgie kloni, iespēja noķert upuri ir diezgan liela, piemēram, stundu pēc grāmatas publicēšanas. pirmā ļaunprātīgā pakotne, tā tika lejupielādēta vairāk nekā 100 reizes.
Zīmīgi, ka pirms nedēļas tā pati pētnieku grupa PyPI identificēja 30 citas ļaunprātīgas pakotnes, dažas no kurām arī bija maskētas kā populāras bibliotēkas. Uzbrukuma laikā, kas ilga aptuveni divas nedēļas, ļaunprātīgas paketes tika lejupielādētas 5700 reižu. Skripta vietā, lai aizstātu kriptogrāfijas makus šajās pakotnēs, tika izmantots standarta komponents W4SP-Stealer, kas vietējā sistēmā meklē saglabātās paroles, piekļuves atslēgas, kriptomakus, marķierus, sesijas sīkfailus un citu konfidenciālu informāciju un nosūta atrastos failus. izmantojot Discord.
W4SP-Stealer izsaukšana tika veikta, failos setup.py vai __init__.py aizstājot izteiksmi "__import__", kas tika atdalīta ar lielu skaitu atstarpju, lai veiktu izsaukumu uz __import__ ārpus teksta redaktora redzamā apgabala. Bloks "__import__" atšifrēja Base64 bloku un ierakstīja to pagaidu failā. Blokā bija skripts W4SP Stealer lejupielādei un instalēšanai sistēmā. Izteiksmes “__import__” vietā ļaunprātīgais bloks dažās pakotnēs tika instalēts, instalējot papildu pakotni, izmantojot izsaukumu “pip install” no skripta setup.py.
Identificētas ļaunprātīgas pakotnes, kas krāpj kriptovalūtas maka numurus:
- gardā zupa4
- skaists sups4
- cloorama
- kriptogrāfija
- kriptogrāfija
- djangoo
- sveiks-pasaules-piemērs
- sveiks-pasaules-piemērs
- ipyhton
- pasta apstiprinātājs
- mysql-connector-pyhton
- piezīmju grāmatiņa
- pyautogiu
- pygaem
- pythorhc
- python-dateuti
- pitona kolba
- python3-kolba
- pyyalm
- pieprasījumus
- slenijs
- sqlachemy
- sqlalcemy
- adītāja
- urllib
Identificētas ļaunprātīgas pakotnes, kas sūta sensitīvus datus no sistēmas:
- typeutil
- salikums
- sutiltype
- duonets
- fatnoob
- strinfer
- pydprotect
- incrivelsim
- twyne
- pyptext
- installpy
- faq
- colorwin
- pieprasījumi-httpx
- Colorama
- shaasigma
- virkne
- felpesviadinho
- ciprese
- stāvte
- pyslyte
- pystyle
- pyurllib
- algoritmisks
- ol
- labi
- curlapi
- tips-krāsa
- pyhints
Avots: opennet.ru